Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Авторитетный, публичный DNS сервер внутри локальной сети. Возможно ли?  (Прочитано 3885 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн siriosus

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Уважаемые гуру свободного ПО! Нужно ваше авторитетное мнение. Ситуация такова - имеется один единственный внешний IP (допустим 192.168.56.10) который забит на внешней сетевой карте нашего файрволла (допустим kerio WinRoute). Есть настроенный DNS сервер(оттестировать полностью в боевых условиях пока не удалось так как регистратор ещё не изменил у себя записи об авторитетных DNS для наших доменов - допустим example.ru и example1.ru на что уже отправлен соответствующий запрос). Так же на этой же машине поднят LAMP сервер который опять таки оттестирован только локально потому как на DNS еще не делегировано управление зонами. И самое важное - DNS находится в локальной сети, то есть за файерволом. Вопрос! Будет ли он резолвить имена извне когда регистратор делегирует управление зонами нам. С Apache более или менее понятно нужно будет на файервольной машине поставить ещё один Apache и прописать редирект на внутреннюю машину. А вот как с DNS? NAT я так понимаю подменяет в заголовке пакета не только IP но и имя машины? или нет и тогда все запросы приходящие на внешний IP пройдут через маршрутизатор (можно прописать на нём жёсткий туннель) и попадут по 53му порту на ту самую локальную машину с DNS? и она ответит так же без проблем проскочив огненную стенку? Или есть какие то более элегантные и безопасные решения? Сразу скажу что файерволл заменить - не вариант ибо на нём стоит много чего другого работу чего нарушать смерти подобно :)
В общем кто сталкивался с необходимостью подобной сетевой архитектуры подскажите как лучше и безопаснее реализовать подобную конфигурацию когда DNS сервер и веб-сервер (возможно буду прикручивать и mail сервер) работают на компьютере локальной сети за файерволом отвечая на все запросы извне?
Спасибо заранее всем!

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Обычно они именно так и работают, с одним небольшим исключением. Серверы, предназначенные для "открытия наружу" принято размещать в отдельной зоне (dmz, демилитаризованная зона). Дело в том, что даже если такой сервер будет скомпрометирован (читай: взломан) это не позволит легко проникнуть внутрь локальной зоны.
Из такой демилитаризованной зоны (обычно) доступ в локальную зону запрещен так же, как из "внешнего" мира.

Зона dmz - это, вообще говоря, такая же локальная зона, но другая :) Т.е. отдельная зона, в которую разрешен доступ по ограниченному числу протоколов/портов. Естественно, что dmz и локальная зона не должны пересекаться по ip-адресам и должны быть "воткнуты" в разные сетевые интерфейсы файрволла.

Оффлайн VolCh

  • Активист
  • *
  • Сообщений: 543
    • Просмотр профиля
(Нажмите, чтобы показать/скрыть)

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Да ужас вообще... :) А потом - пять постов...

Оффлайн VolCh

  • Активист
  • *
  • Сообщений: 543
    • Просмотр профиля
По сути всё уже сказали, если без эмоций, то NATe настраиваешь проброс к DNS серверу, там же на WWW сервер, внешние клиенты разницы не увидят (вернее, имхо, не должны). Подводный камень может быть в том, что DNS в той же подсети, что и сервер (а вернее на том же ip) и с этим могут быть проблемы, если прописывать dns для доменов тоже как домен, а не как IP. Да и секондари DNS (все регистраторы, которых я знаю требуют минимум два DNS) всё равно где-то держать придётся. лет 10 назад встречал ещё, что проверка DNS для домена не проходила, потому что DNS и домен висели на одном IP, но в последнее время об этом не слышал

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Одно только замечание (правда, если я правильно понял, в данном конкретном случае это не актуально, тем не менее). Если делается проброс порта на внутренний сервер, при этом внешний адрес делается алиасом (не важно, зачем; просто поверьте: так делается часто), то очень важно в случае почтового сервера  обеспечить двунаправленное отображение (NAT 1:1), чтобы пакеты ОТ почтового сервера имели адрес источника не адрес файрволла, а тот самый адрес-алиас. Иначе возможны проблемы с передачей почты на другие почтовые сервера.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27612
    • Просмотр профиля
очень важно в случае почтового сервера  обеспечить двунаправленное отображение (NAT 1:1), чтобы пакеты ОТ почтового сервера имели адрес источника не адрес файрволла, а тот самый адрес-алиас. Иначе возможны проблемы с передачей почты на другие почтовые сервера.

Если быть совсем точным, то адрес почтового сервера должен ресолвиться в IP и обратно.
Т.е.
mail.example.com = ipaddress = mail.example.com
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Я немного не о том, а о 1-to-1 NAT. Резолвинг резолвингом, а адрес источника пакетов должен совпадать с указанным в этом резолвинге.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27612
    • Просмотр профиля
Я немного не о том, а о 1-to-1 NAT. Резолвинг резолвингом, а адрес источника пакетов должен совпадать с указанным в этом резолвинге.

Ну, это как бы автоматом будет выполнено, если шлюз настроен нормально. Или я чего-то не понимаю?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
"по умолчанию" нет... "По умолчанию" у пакета, ушедшего из "заначенного" сервера адрес источника будет - адрес шлюза.
http://lists.netfilter.org/pipermail/netfilter/2001-July/012946.html

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27612
    • Просмотр профиля
"Нормально настроенный" - не то же самое, что "по умолчанию"...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн siriosus

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
То есть, в идеале необходимо воткнуть в сервер ещё одну сетевую карточку, а на файерволле настроить ещё одну подсеть с разрешениями по всем нужным портам. Таким образом эта подсеть станет так называемой DMZ. А второй сетевухой она должна смотреть в локальную сеть. Но тогда и в файервольную тачку нужно воткнуть ещё одну сетевуху настроенную на эту DMZ подсеть? я все верно понял?

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2939
  • умрешь с вами
    • Просмотр профиля
внешний адрес делается алиасом (не важно, зачем; просто поверьте: так делается часто)

Можно насчет этого пару слов?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27612
    • Просмотр профиля
То есть, в идеале необходимо воткнуть в сервер ещё одну сетевую карточку, а на файерволле настроить ещё одну подсеть

Нет. Второй DNS сервер должен быть в другой реальной подсети.
Не пытайся сэкономить на пуговицах, ширинка просвечивать будет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн siriosus

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
То есть без второго внешнего IP адреса никак?

 

Страница сгенерирована за 0.09 секунд. Запросов: 22.